IRC攻防手册(1)
本文将对目前网络上越来越流行的IRC聊天的安全做一点分析,如果你还不知道什么是IRC,可以访问相关站点http://xirc.yeah.net),也可以访问我一年多没有更新的站点http://eirc.yeah.net ,我这里不再重复解释这些问题。由于目前IRC的大部分用户都是使用Mirc客户端的,所以这里我们以Mirc为前提来讨论,对于使用别的IRC客户端的MS系统用户,我们强烈推荐你使用Mirc,因为它强大的功能使得你可以很容易的配置并使用它(主要是别的客户端我不会用,#%!……×※?:))))。最新版本的Mirc 可以到http://www.mirc.com 下载。好了,废话少说,Let's go~~
IRC安全常识
这部分介绍一些基本的IRC安全知识,以及Mirc的一些安全设置。
1.在陌生的IRC里面不要使用你的真名字,也不要随意透露你的电话啊,家庭住址啊,QQ号码什么什么的,免得半夜鬼敲门。
2.IRC的用户信息不要如实的填写。特别是名字和email。Mirc用户按alt+o,在弹出的对话框的连接选项中可以修改个人信息。名字只要不是你的真名就可以,最好呢就是填上你常用的nick,email填 yournick@irc.com 好了。接着把下面那个 隐藏模式 选上,用处不是很大,好过没有。
3.不要轻易的相信你不熟悉的人的话。这点可以引起很多的irc问题,比如暴露你的ip,或者使你的电脑蓝屏之类的。举例来说:
经常可以看到这样的话:
<springold> 请大家双击-->http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
更有甚者,把http后面的内容改成和背景色一样。比如白色,你看到的就是这样的
<springold> 请大家双击-- 很好看的哦。
那个URL可以连到他自己的电脑上,用来骗取你的ip,也可以是炸弹的地址,引诱你上勾,一旦你点了,机器立刻就蓝屏了。
4.不要和陌生人使用DCC chat 也不要轻易的接收人家Dcc给你的文件,特别是一些可以运行的文件(以"exe", "vbs", "com", "bat", "pif", "scr", "lnk", "js"等为后缀的文件),很可能是恶意文件。在Mirc中 按 alt+O -> DCC 把发送请求和聊天请求都选成 显示聊天对话框,如果选择自动获得/接受的话,一来容易收到恶意程序,二来也给攻击者使用DCC flood提供了方便。DCC 选项中的 文件夹 子选项可以设置能接收的文件类型,推荐为:打开 忽略文件除了:*.jpg,*.gif,*.png,*.bmp,*.txt,*.log,*.wav,*.mid,*.mp3,*.zip 。
关于IRC木马
除了网上流行的一些常见木马程序,比如冰河,sub7等,我们还要注意一些不常见的针对IRC的木马和病毒。大部分木马都有很好的隐蔽性,而且,别人可以通过它远程控制你的机器,利用它来窃取你的信息,夺IRC频道权限,或者是利用你的机器发动DOS攻击等,总之,一旦中了木马,爱机的命运就掌握在别人手上了。木马一般不会自动运行,往往绑定在别的一些应用程序中,一旦你运行了这些带木马的程序,木马也就启动了。我们这里把一些有名的IRC木马和病毒列举出来,希望能为保护你的爱机做点“贡献”。
1.Srvcp.exe
如果你发现你突然以”Drones”或”clonebots”的名义被杀线(K-lined),那么你很可能就是中了这玩意了。
2.Link.vbs
Link.vbs是一段VBScript程序。它会把自己发送到你的Outlook地址簿里的每个人。同时,它也会在Mirc和Pirch上增加脚本,使得别人一加入你所在的频道,它就会自动地用DCC向来者发送自己。
3.Back Orifice 和 NetBus
功能强大的木马,无须多说,目前的杀毒软件都能够杀除它们,到pchome.net下载金山毒霸即可。
4. Script.ini
Script.ini 是Mirc 默认的脚本文件,很容易成为目标。Mirc会自动加载这个文件。并且有很多的功能,比如窃听你和别人的谈话,利用你的mirc来执行IRC 命令,抢占频道,并且会自动向IRC用户分发自己,以达到传播的目的。
5. dmsetup.exe
常把自己伪装成”xxxxx.jpg.com”, 这样在95/98里面看上去将是一张jpg图片,大小大约80k。
一旦木马运行,它首先会把自己复制到 c:\windoom.exe c:\windows\Freeporn.exe ,在autoexec.bat文件最后增加2行内容,然后会在你的C:\ 和 c:\program files 文件夹里面创建几万个文件夹出来,具体数目看你的硬盘容量了 L.
6.除了上面这些,还有很多知名mirc木马,具体的可以访问PC100的站点http://go.163.com/~kingpc/irchelp/av/ 和http://www.irchelp.org/irchelp/security/trojan.html 。
其实,有过mirc script 编程经验的人都知道,利用mirc的脚本,是很容易写出木马的。以下几点可以防止机器被木马感染:
1.不要下载那些你不能确定是否安全的文件,特别是一些个人站点上的东西,小心“糖衣炮弹”,Mirc script也不要随意使用。频道里面打出来的URL也不要随意的点击。
2.下载的文件要注意查看扩展名,windows默认是隐藏最后一个扩展名的,所以有的时候你拿到 plmm.jpg的时候,不要急着看,先看看扩展名也无妨。
3.不要使用Mirc的DCC 自动接收功能。
4.在mirc频道中,别人让你打什么命令,如果你不熟悉那个命令就不要打他。
5.安装一个杀毒软件,如 金山毒霸
关于IRC聊天室里暴露IP的问题
对与个人上网来说,IP一旦暴露了,炸弹随之也就来了。网上很多人都会很乐意地帮你省网费(炸你下线),不过,和MM聊天正在兴头上,断了线总是一件不爽地事情。虽然断线对你地电脑里面地东西没有什么损失,不像名病毒和木马,又删又改的,但是我想各位都不会希望自己成为被炸的对象。那么,在IRC中是如何暴露自己的IP地址的呢?方法主要可以分两类,一类是骗,一类是查。如何骗呢?
1.在自己的Mirc里面输入命令 //echo $ip 看看。是不是出来的ip了?对了!,那个ip就是你自己在网上的IP地址,当然,用这个命令别人是看不到的。把 echo 改成 //say 或者 //me 之类的试试看,整个频道的人就都知道了。以前我在聊天室里面说:大家打 //say $ip 看看,很有意思的,名字会变色呢,刷的就出来好些ip来。
2.大家都知道很多论坛 ,bbs都会把访问者的IP如实的记录下来,而且别人可以查看。所以,只要骗别人访问某个bbs,论坛,然后区看记录就可以了。
3.在自己的机器上开上查ip的工具,然后,骗人家访问你的机器。人家一旦访问了你的机器,嘟~!IP蹦出来了。
以上这些只要你自己小心,不要随意相信别人的话就可以了。用查的方法,自己恐怕就无能为力了。如何查呢?先来熟悉2个IRC命令:
/who /whois
/who springold
-
* springold H ~ling_zhu@127.0.0.FastNet-14601 :0 coolove
springold 结束 /WHO 列表
-
/whois springold
-
springold 是~ling_zhu@127.0.0.FastNet-14601 * coolove
springold 正在使用 IRC.FastNet.Org FastNet IRC Server
springold 已经空闲 27mins 55secs, 登录在 Sat Jun 02 18:53:21
springold 结束 /WHOIS 命令
-
看到了么? 两个命令的执行结果里面都有
~ling_zhu@127.0.0.FastNet-14601
其中的127.0.0.FastNet-14601就是你的IP,当然这个是mask过的,最后一位无法得知。这是因为连进服务器的时候,执行过 /mode nick +x 的结果。
我们现在把 +x 去掉看看
用户spirngold运行下面的命令
/mode springold –x
[19:23:26] *** springold 设定模式: -x
ok,执行成功。
现在切换到另外一个用户test的mirc里。
/who springold
-
* springold H ~ling_zhu@127.0.0.1 :0 coolove
springold 结束 /WHO 列表
-
/whois springold
-
springold 是~ling_zhu@127.0.0.1 * coolove
springold 正在使用 IRC.FastNet.Org FastNet IRC Server
springold 已经空闲 35mins 34secs, 登录在 Sat Jun 02 18:53:21
springold 结束 /WHOIS 命令
-
我是在本机测试的。可以看到,执行过 /mode nick –x 以后,对ip地址的mask也去掉了,任何人只要执行 /whois yournick 就可以得到你的ip。所以在连进IRC的时候,请先执行下面的命令:
/mode yournick +x
但是,是不是+x之后IP就安全了呢?完全不是的。还是有别的方法可以查清楚最后那个mask过的数字。以前很多的IRC服务器都有个漏洞,利用 /who 命令就可以完全的查出来别人的IP,现在国内的IRC服务器好些都没有这个漏洞了,不过很多IRC经常更换服务器软件,难保以后不碰上。这里只给点提示
执行过上面的/whois 之后我们得到了一个mask过的127.0.0.FastNet-14601
执行
/who 127.0.0.FastNet-14601
-
* springold H ~ling_zhu@127.0.0.FastNet-14601 :0 coolove
* test H ~ling_zhu@127.0.0.FastNet-14601 :0 coolove
127.0.0.FastNet-14601 结束 /WHO 列表
-
/who 127.0.0.*
-
* springold H ~ling_zhu@127.0.0.FastNet-14601 :0 coolove
* test H ~ling_zhu@127.0.0.FastNet-14601 :0 coolove
127.0.0.* 结束 /WHO 列表
-
而
/who 127.0.0.5
-
127.0.0.5 结束 /WHO 列表
-
可以看出来 /who 后面跟ip,可以查出IP所在的用户。所以…
/mode 127.0.0.1*
/mode 127.0.0.2*
……….执行255次?自己去想吧,不过数目是远小于255的,不然不是要累死我?当然如果呢会mirc script就更好了。写个脚本查也不是特别难。
刚才说了,目前的服务器大部分都不能这么查了。有别的方法么?当然啦。
既然已经知道了前面三位IP,最后一个mask过的要知道也不是很难了。用个扫描软件scan一下那个C段,从出来的几个IP里面再猜吧,如果扫描结果只有一个,那猜也不用猜了。如果和前面说的骗的方法相结合,也能收到很好的效果。
针对IP的攻击一般有两种,一种就是我们常说的“NUKE”,它利用95/98系统的一些bug进行攻击,通常攻击的结果都是死机或者蓝屏,所以通常也叫蓝屏炸弹。另外一种就是DOS,向你的机器发送大量的数据包,导致你的网络带宽消耗殆尽,正常的数据包无法正常收发。要防止nuke,只要你安装最新版本的98系统,或者打上补丁就可以。对付DOS,可以使用防火墙,lockdown,天网的效果都还不错,其中lockdown还有差杀木马的功能,值得一试。 (未完待续)
|
|